能力值:
( LV2,RANK:10 )
|
-
-
2 楼
顶一下啊!
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
哦 不知道你说的是 有WORD的图标的EXE文件 还是word 的溢出 前者 直接分析就可以 后者 可提取 sellcode
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
我指的是后者,方法是什么,如何提取呢?谢谢!
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
强烈关注!!!
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
shellcode可能比较难直接看出来把
word溢出得程序一般会导致程序异常
这种估计要调试一下,看看异常出在什么地方,然后再做进一步分析
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
讨论这个问题的时候,我还想起一个问题:
为什么一个word exploit文件,正常打开的时候可以触发
但是用od加载word,再打开doc文件的时候,却触发不了呢?我把所有的异常都忽略了.
如果这个问题可以解决的话,我觉得打开run跟踪应该可以解决shellcode定位的问题.
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
木马也敢调试,小心中毒哦
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
昨天发现,有些别的文件溢出是可以跟踪的
直接开启run跟踪就可以了
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
这个问题基本上可以用下面的方法解决.
1.考虑触发方式的问题.有些是直接双击打开触发的,有些是启动关联程序,后面以winword.exe为例,然后再打开指定exploit(也就是楼主所说的word木马)的,调试的时候需要区别对待.
2.对于可以启动关联程序再打开指定exploit来触发的,直接用od加载winword.exe,然后打开指定exploit文件,开启run跟踪,然后找出代码执行的异常之处,一般最后在触发完毕之后,你可以在堆栈上发现很多东西.
3.另一种就是双击打开触发的.这种你直接修改winword.exe的oep为CC(int3)指令,然后把od设置为默认调试器,这样直接双击doc文件的时候,就可以在od中开始调试了,后面的操作和前面的一样.
|
|
|
|
